Article

Les nouvelles clauses contractuelles types de transfert de données : mode d'emploi

par Matthieu Bourgeois et Julie Dehavay
2 personnes ont aimé cette page

 

Dossier réalisé par LexisNexis, partenaire de l'AFJE

 

 

 

 

 

 

 

La Commission européenne a tiré les enseignements de la décision de la Cour de justice de l'Union européenne dans l'affaire Schrems II en publiant, le 4 juin 2021, une décision d'exécution relative aux clauses contractuelles types (ci-après les « nouvelles CCT ») venant remplacer les clauses contractuelles types issues des décisions 2001/497/CE du 15 juin 2001 et 2010/87/UE du 5 février 2010 (ci-après les « anciennes CCT »), qui encadraient respectivement les transferts entre responsables de traitement et les transferts entre responsable de traitement et sous-traitant. L'adoption de ces nouvelles clauses est obligatoire depuis le 27 septembre 2021 pour les contrats conclus après cette date, et, pour les autres, ils doivent faire l'objet d'un avenant intégrant ces clauses au plus tard le 27 décembre 2022. Toutes les organisations doivent se mettre à l'ouvrage rapidement, pour intégrer cet important changement.

 

Les nouvelles clauses contractuelles types de transfert de données, imposées par la Commission européenne : mode d'emploi !

Étude rédigée par 

  • Matthieu BOURGEOIS, avocat associé, klein ● wenner  
  •  Julie DEHAVAY, avocat, klein ● wenner

 

1 - Transferts de données personnelles en dehors de l'Union européenne (« UE ») : une interdiction de principe, assortie d'exceptions parmi lesquelles figure l'emploi de clauses contractuelles types (« CCT »). 

 

Soucieux de préserver l'efficacité du régime de protection élevée mis en place au sein de l'UE, le législateur communautaire avait, dès 1995, posé un cadre strict interdisant, en substance, les transferts de données à caractère personnel à destination d'États tiers à l'UE. Toutefois, conscient du développement fulgurant des services numériques impliquant des échanges internationaux de données, celui-ci avait prévu trois séries d'assouplissements dans sa directive 95/46 1 , qui ont été - peu ou prou - reprises par le règlement général sur la protection des
données (RGPD) du 27 avril 2016 2 et qui sont actuellement les suivantes :
 

  • lorsque le pays vers lequel sont transférées les données est désigné par une décision de la Commission européenne lui reconnaissant un niveau de protection adéquat : 16 pays (à l'heure où nous écrivons ces lignes, il s'agit de : Jersey, Guernesey, l'Ile de Man, les Iles Féroé, l'Argentine, Andorre, la Nouvelle-Zélande, l'Uruguay, la Suisse, la Norvège, le Liechtenstein, l'Islande, Israël, le Canada le Japon et – depuis le 28 juin 2021 3 – le Royaume-Uni) appartiennent à ce cercle ;
  • lorsque le transfert répond à l'une des dérogations fondées sur le consentement ou la nécessité de certaines opérations limitativement énumérées 4  ;
  • lorsque le transfert s'appuie sur un instrument juridique approprié ; parmi les plus fréquemment utilisés figurent les clauses contractuelles types (« CCT »), que la Commission européenne avait adoptées sous la forme de deux ensembles : un premier encadrant les transferts entre deux responsables de traitement (« RT »), et le second encadrant les transferts entre un responsable de traitement et un sous-traitant (« ST »).

 

2 - La fragilisation des anciennes CCT à l'issue de l'arrêt Schrems II, et prolongé par les recommandations pratiques 01/2020 du Comité européen de la protection des données (CEPD).

 

La refonte de ces clauses était attendue depuis l'entrée en vigueur du RGPD, mais ce sont les effets produits par l'arrêt Schrems II 5 qui ont certainement décidé la Commission européenne à se mettre à l'ouvrage pour aboutir à la décision commentée ici. 

Dans cette affaire, saisie d'une série de questions préjudicielles par un utilisateur autrichien de Facebook, la Cour de justice a, le 16 juillet 2020, non seulement invalidé le Privacy Shield (décision d'adéquation n° 2016/1250 du 12 juillet 2016 valant accord transatlantique conclu entre les États-Unis et l'Union européenne, permettant à tout RT de se référer à cet accord, en s'y déclarant conforme, pour transférer des données entre les deux continents), mais a aussi déclaré l'insuffisance des anciennes CCT pour encadrer un transfert de données à caractère personnel depuis l'Europe vers les États-Unis. 

Étaient en cause les programmes PRISM et UPSTREAM permettant aux agences de défense et de renseignements (NSA et FBI) d'accéder aux données transitant par des fournisseurs américains, puis de les analyser. Relativisant la valeur des CCT 6 , les magistrats communautaires ont relevé la nécessité « de compléter les garanties que contiennent ces clauses types » 7 par des mesures supplémentaires. Tirant les conséquences de cet arrêt, le CEPD a soumis pour consultation publique une série de recommandations 01/2020, le 10 novembre 2020, dont la version définitive a été publiée le 18 juin 2021. 

Dans ce document le CEPD propose une démarche en six étapes : connaître ces transferts (cartographie), identifier l'instrument de transfert adéquat, évaluer si celui choisi est efficace au vu des circonstances du transfert, adopter des mesures supplémentaires, formaliser leur mise en place, réévaluer à intervalles réguliers. Au vu de ces évolutions réglementaires et jurisprudentielles, la refonte des CCT apparaissait donc indispensable. C'est désormais chose faite avec la décision d'exécution n° 2020/914 adoptée par la Commission européenne le 4 juin 2021 8 . Parallèlement, le Sénat américain examine un projet de loi fédérale sur la confidentialité des données, afin de combler les lacunes déjà identifiées dans l'arrêt Schrems II, et qui pourra déboucher, ensuite, sur un nouvel accord avec l'UE. Nous présenterons l'économie générale des CCT avant d'en proposer un mode d'emploi.

 

1. Présentation générale


A. - Champ d'application


3 - Champ territorial : l'erreur de plume ?

 

 Ces nouvelles CCT sont réputées offrir des garanties appropriées 9 pour le transfert effectué par un exportateur « dont le traitement est soumis » au RGPD, à destination d'un importateur « dont le traitement » n'y est pas soumis 10 . Prise à la lettre, cette formulation de l'article 1 er des CCT n'a aucun sens, car elle correspond à une situation qui ne peut pas se produire : celle dans laquelle le traitement d'un importateur ne serait pas soumis au RGPD, mais où (en même temps) le traitement de l'exportateur y serait soumis (car cet acteur est établi en UE, ou parce que son traitement « est lié à l'offre de biens ou de services à des personnes concernées dans l'Union ou au suivi du comportement de ces personnes dans la mesure où il s'agit de leur
comportement au sein de l'Union  »). La formulation actuelle de cet article 1 er laisse entendre qu'il y aurait deux traitements (celui opéré par l'exportateur, et celui opéré par l'importateur), alors que, quel que soit le schéma du transfert, il n'y a qu'un seul et même traitement opéré (avec sous-traitance ou sous responsabilité conjointe) par l'exportateur et l'importateur. Or, ce traitement : 

  • soit est soumis au RGPD, auquel cas le recours aux CCT est utile pour permettre d'échapper à l'interdiction de transfert hors UE ;
  • soit n'y est pas soumis, auquel cas le recours aux CCT n'est d'aucune utilité puisque le principe d'interdiction de transfert (posé par le RGPD) n'est pas applicable. Il faut donc, selon nous, pour le moment et en l'absence de précision de la Commission ou de la CNIL, y voir une fâcheuse maladresse de plume, en considérant que ces CCT s'appliquent à tout transfert relatif à un traitement soumis au RGPD et opéré par un exportateur transférant des données vers un pays tiers à l'UE et exempt de décision d'adéquation.

 

4 - Champ matériel : des clauses couvrant toutes les hypothèses (RT-RT, RT-ST, ST-ST, ST-RT).

 

 À la différence des précédentes clauses qui ne couvraient que les transferts entre deux responsables de traitement (RT-RT) et ceux entre un responsable de traitement et un sous-traitant (RT-ST), les nouvelles CCT couvrent également deux autres hypothèses : les transferts de sous- traitant à sous-traitant (ST-ST), ainsi que les transferts de sous-traitant à responsable de traitement (ST-RT). La troisième hypothèse vise le cas de la sous-traitance ultérieure à laquelle recourrait un sous-traitant initial situé en UE en confiant tout ou partie du traitement dont il a la charge à un prestataire situé hors UE. La quatrième et dernière hypothèse vise, quant à elle, les traitements qu'un sous-traitant opère depuis l'UE pour le compte d'un RT établi hors UE.
 

5 - Champ temporel : une entrée en vigueur au 27 septembre 2021, et la période de coexistence avec les anciennes CCT jusqu'au 27 décembre 2022.

 

La décision d'exécution 2020/914 – qui est entrée en vigueur le 27 juin 2021 – prévoyait l'abrogation au 27 septembre 2021 des décisions 2001/497/CE et 2010/87/UE qui avaient établi les anciennes CCT 11 . Elle aménage en outre une période de grâce de 15 mois (soit, jusqu'au 27 décembre 2022) pendant laquelle, les anciennes CCT intégrées à des contrats conclus antérieurement au 27 septembre 2021, resteront valables 12 à
condition d'avoir été assorties de garanties appropriées au sens l'arrêt Schrems II.
 

B. - Un kit en deux parties


6 - La partie générale. 

Les nouvelles CCT prévoient des obligations génériques, s'appliquant quelle que soit l'hypothèse de transfert. Il s'agit des clauses 1 à 7, et de la clause 16. Pour s'en tenir à l'essentiel, celles-ci prévoient :

  • un principe de primauté des nouvelles CCT sur toute autre convention (clauses 2 et 5) ;
  • une invocabilité par les personnes concernées (clause 3) qui sont désignées comme des « tiers bénéficiaires » (ce qui – en droit français – devrait rendre applicable le régime de la « stipulation pour autrui » prévu aux articles 1205 et suivants du Code civil et ouvre ainsi un droit contractuel direct à ces personnes à l'encontre du promettant (ici l'importateur des données) pour un certain nombre des obligations prévues par ces nouvelles CCT (mais pas toutes)) ;
  • une terminologie uniformisée avec le RGPD, dont il est adopté les mêmes significations pour les termes empruntés à ce texte (clause 4) ;
  • une faculté d'intégration de nouvelles parties contractantes (qu'il s'agisse d'exportateurs ou d'importateurs de données) en signant l'annexe « Liste des parties » (clause 7), et en acceptant ou en modifiant dès lors le reste des caractéristiques du transfert visé dans les annexes ;
  • l'obligation pesant sur l'importateur d'alerter l'exportateur en cas d'impossibilité de respecter les nouvelles CCT, et l'obligation, pour ce dernier, de suspendre le transfert dans un tel cas suivie d'une faculté de résiliation contractuelle (clause 16) ;
  • une obligation de description précise des opérations de transfert (clause 6) dont les caractéristiques doivent être détaillées (et l'autorité de contrôle compétente doit être désignée) en annexe I, sans oublier les mesures techniques et organisationnelles à préciser en annexe II et, enfin, la liste des sous-traitants ultérieurs en annexe III.


7 - La partie modulaire, couvrant les quatre hypothèses de transfert.

Les nouvelles CCT couvrent ensuite les obligations particulières incombant aux parties en fonction de leur qualification. Elles distinguent principalement :

  • des engagements pris par l'exportateur de données de mettre en place toutes les mesures techniques et organisationnelles appropriées (clause 8) (concernant en particulier les transferts RT-RT (module 1), il sera relevé que les CCT laissent la faculté à l'importateur, dès lors que l'information des personnes concernées se révélerait impossible ou exigerait des efforts disproportionnés, de les informer par une communication publique « dans la mesure du possible ». Cette formulation est à relever, puisqu'elle est atténuée par rapport à celle prévue par l'article 14, 5 du RGPD qui impose au RT, dans pareille situation, de prendre des mesures appropriées pour le faire. Pour ce qui concerne les traitements ultérieurs, l'importateur de données n'est soumis à aucune obligation d'information de l'exportateur en cas de transfert ultérieur. Prévues dans les anciennes CCT, il est curieux que cet engagement n'ait pas été repris, alors qu'il semblerait essentiel afin de permettre à l'exportateur de remplir ses obligations en vertu du RGPD[1]) ;
  • le recours à des sous-traitants ultérieurs (clause 9) où ne sont donc logiquement visés que les transferts de RT à ST et les transferts de ST à ST, intégrant deux options, à savoir une autorisation préalable spécifique et une autorisation écrite générale ;
  • les droits des personnes concernées (clause 10), lesquels sont plus spécifiquement énumérés dans le cadre du module 1 RT-RT ;
  • les voies de recours (clause 11) ;
  • la responsabilité (clause 12), divisée en deux régimes applicables aux transferts RT-RT ou ST-RT, d'une part, et aux transferts RT-ST et ST-ST, d'autre part ;
  • l'interruption du transfert au titre des CCT (clause 14), dès lors que la législation et les pratiques du pays tiers de destination ne permettent pas à l'importateur de les respecter, ce qui suppose donc de s'en assurer dans un premier temps avant toute signature. Or ici réside toute la difficulté, puisque les parties ont justement des raisons de douter de la législation américaine, ce qu'est censé justement combler les nouvelles CCT, dont la clause 2 rappelle spécifiquement qu'elles « établissent des garanties appropriées » ;
  • des obligations d'information et de suivi imposées aux importateurs en cas d'accès par les autorités publiques aux données provenant d'un État membre de l'UE (clause 15).

 

[1] PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016, art. 44.

2. Mode d'emploi


A. - Pour les transferts existants


8 - Premièrement, recenser les transferts soumis aux anciennes CCT. 

 

Pour connaître leurs transferts, les exportateurs de données doivent les cartographier, y compris les transferts ultérieurs, et vérifier que chacun répond au principe de minimisation (c'est-à-dire qu'il soit strictement nécessaire à la poursuite d'une finalité légitime). Cette vérification a dû, en principe, être effectuée avant tout transfert, étant précisé que ces derniers peuvent s'appuyer sur leur registre de traitement pour ce faire.
 

9 - Deuxièmement, préparer un avenant avec tous les destinataires de données situés hors UE.


En prévision de l'abrogation définitive des anciennes CCT, les exportateurs de données devront prévoir des avenants aux contrats conclus avant le mois de septembre 2021, comprenant les nouvelles CCT en fonction du module approprié à leur situation de transfert, lesquels devront être signés avant le 27 décembre 2022. À ce sujet, ils devront veiller à supprimer toute clause de ces contrats prévoyant leur primauté sur les CCT.
 

B. - Pour les transferts à venir


10 - Premièrement, qualifier convenablement les parties au transfert (ce point n'est pas abordé dans les nouvelles CCT) pour choisir le(s) bon(s) module(s) des CCT. 

 

 Véritable enjeu, la qualification des acteurs du traitement présente un intérêt fondamental : déterminer et – au besoin – aménager contractuellement les responsabilités des parties qui, à défaut, résulteront du régime légal, lequel n'est pas toujours en faveur de celles-ci. Une fois les parties qualifiées, elles seront à même de sélectionner le module qui leur est applicable.
 

11 - Deuxièmement, mener une analyse des circonstances du transfert, et la documenter.

 

 Cette étude doit permettre d'identifier l'instrument de transfert adéquat 14 . Si les CCT sont l'instrument choisi, les parties veilleront à évaluer leur efficacité au vu des circonstances du transfert en se livrant à une analyse juridique et pratique de la réglementation locale afin de mesurer l'efficacité des garanties.
 

12 - Troisièmement, choisir les mesures techniques et organisationnelles appropriées, qui viendront constituer l'annexe aux CCT. 

 

Les nouvelles CCT imposent aux parties de décrire en leur sein les mesures techniques et organisationnelles propres au transfert, parmi une liste non
exhaustive proposée, et qu'elles s'engagent à formaliser par la signature des clauses.
 

13 - Quatrièmement, s'assurer de la cohérence entre les CCT personnalisées et le contrat général liant les parties au transfert. 

 

L'exportateur et l'importateur de données sont libres d'insérer les CCT au sein d'un ensemble contractuel plus large. Toutefois, ils doivent, au préalable, vérifier que les clauses du contrat général ne contredisent pas les CCT et qu'elles ne portent pas atteinte aux droits et libertés fondamentaux des personnes concernées par le transfert. Enfin, elles devront là encore veiller à supprimer toute clause du contrat général prévoyant la primauté de ce dernier sur les CCT.

 

 

 

Consultez nos documents

Titre Consulter